Microsoft: Kampagne jubelt Opfern Malware als angebliche Spiele-Tools unter

Microsoft warnt vor Malware-Kampagne auf Gaming-Plattformen

Microsoft hat eine alarmierende Warnung ausgesprochen, die sich auf eine neue Malware-Kampagne bezieht. Diese Kampagne nutzt Chat-Plattformen und Browser, um ahnungslosen Nutzern Schadsoftware unter dem Vorwand anzubieten, sie seien nützliche Spiele-Tools.

Hintergründe der Kampagne

Laut dem Threat-Intelligence-Team von Microsoft handelt es sich bei den betroffenen Programmen um sogenannte „trojanisierte“ Gaming-Werkzeuge. Diese Programme erscheinen als legitime Software, sind jedoch mit Malware infiziert.

Betroffene Dateien

Besonders hervorgehoben werden zwei Dateien:

• **RobloxPlayerBeta.exe**: Diese Datei trägt den Namen einer authentischen ausführbaren Datei von Roblox.
• **xeno.exe**: Diese Datei soll als „Executer“ fungieren, um Roblox-Spiele zu optimieren.

Es bleibt unklar, ob diese Dateien tatsächlich die versprochenen Funktionen bieten oder ob sie lediglich dazu dienen, den Infektionsprozess zu starten.

Funktionsweise der Malware

Sobald ein Nutzer die vermeintlichen Spiele-Tools ausführt, wird ein Remote Access Trojan (RAT) installiert. Dieser gewährt den Angreifern vollständigen Zugriff auf das System des Opfers. Die Malware nutzt eine portable Java-Laufzeitumgebung, um ein bösartiges Java-Archiv mit dem Namen **jd-gui.jar** nachzuladen.

Techniken zur Umgehung von Sicherheitsmaßnahmen

Die Malware bedient sich verschiedener Techniken, um Sicherheitssysteme zu umgehen:

• **PowerShell-Anweisungen**: Diese werden verwendet, um bösartige Befehle auszuführen.
• **Living-off-the-Land-Binärdateien (LOLBins)**: Hierbei handelt es sich um legitime Windows-Dateien, die missbraucht werden, um schädliche Aktionen durchzuführen, beispielsweise durch den Befehl **cmstp.exe**.

Diese Datei ermöglicht es, Profile im Verbindungsmanager-Dienst zu installieren, wobei bösartige .inf-Dateien übergeben werden können.

Maßnahmen zur Bekämpfung der Bedrohung

Microsoft empfiehlt mehrere Schritte, um sich gegen diese Bedrohung zu wappnen:

• **Überwachung von ausgehenden Verbindungen**: Administratoren sollten Verbindungen zu der IP-Adresse **79.110.49[.]15** im Auge behalten, die als Command-and-Control-Server fungiert.
• **Alarme für verdächtige Downloads**: Insbesondere Downloads von **java.zip** oder **jd-gui.jar** sollten überwacht werden.
• **Überprüfung von Windows Defender-Einstellungen**: Es ist wichtig, die eingerichteten Ausnahmen und geplanten Aufgaben auf verdächtige Aktivitäten zu überprüfen.
• **Isolation betroffener Geräte**: Administrationsmitarbeiter sollten kompromittierte Systeme isolieren und die Zugangsdaten der Nutzer zurücksetzen.

Risiken und Folgen

Die Risiken, die von dieser Malware-Kampagne ausgehen, sind erheblich. Cyberkriminelle haben Gamer als Zielgruppe identifiziert, was auf eine anhaltende Bedrohung hinweist. Bereits im vergangenen Jahr gab es ähnliche Versuche, bei denen Täter über Discord-Server Nutzer mit vermeintlichen Beta-Tests köderten, die letztendlich nur Infostealer installierten.

Langfristige Auswirkungen

Die ständige Bedrohung durch solche Malware-Kampagnen könnte das Vertrauen in Online-Gaming-Plattformen erheblich beeinträchtigen. Spieler und Entwickler müssen wachsam bleiben, um ihre Systeme und persönlichen Daten zu schützen.

Die aktuelle Situation erfordert erhöhte Aufmerksamkeit und präventive Maßnahmen sowohl von Nutzern als auch von IT-Administratoren. Die Bedrohung durch Malware, die sich als Spiele-Tools tarnt, zeigt, wie wichtig es ist, sich über aktuelle Sicherheitsrisiken zu informieren und entsprechende Schutzvorkehrungen zu treffen.